Способы защиты фермы

[Cosmo13]

Шалом друзья! Хотел бы представить вам видео о некоторых способах защиты скрипта.
Эти способы актуальны для тех кто не перешёл на pdo.

В общем смотрите и строго не судите:

Это не все способы, лишь несколько из возможных!
По возможности буду дополнять тему!

[shans5]

Не плохо ....   
Добавлено сообщение: 01 Мая 2017, 10:49:58Если следовать логике,то.....

Есть небольшое уточнение:
а именно...

Если менять подгрузку классов,например:

 # Автоподгрузка классов
function __autoload($name){ include("classes/_class.".$name.".php");}

То это нужно делать не только в index.php , а во всех файлах,где это встречается...
В обработчиках платежек ,например :  payeer_merchant.php , если есть-inter_merchant.php и так далее.
В некоторых модулях,например Лицензия от Вискаса licmerch.php

В общем пробивайте по поиску. Как-то так.

[maks161]

инфа конечно полезная,но для меня ничего нового не увидел. последний способ защита админки  от вискаса.
скрипт твой не совсем чистый есть одна дырочка.

[shans5]

Макс,без обид..... но я так понимаю ,что видео было сделано не лично для тебя

Лично я сказал спасибо за то что ,что человек делится информацией,и при этом не скрывает своего лица, в отличии от многих пользователей....

А если начать придираться, то я тут про каждого могу понаписать целую книгу...

[maks161]

Макс,без обид..... но я так понимаю ,что видео было сделано не лично для тебя

Лично я сказал спасибо за то что ,что человек делится информацией,и при этом не скрывает своего лица, в отличии от многих пользователей....

А если начать придираться, то я тут про каждого могу понаписать целую книгу...

опять понеслось!
и тем более я ему подсказал что в скрипте есть дырочка.

[Cosmo13]

опять понеслось!
и тем более я ему подсказал что в скрипте есть дырочка.

Где конкретно, может чего не заметил?
Добавлено сообщение: 01 Мая 2017, 13:12:14

Не плохо ....   
Добавлено сообщение: 01 Мая 2017, 10:49:58Если следовать логике,то.....

Есть небольшое уточнение:
а именно...

Если менять подгрузку классов,например:

 # Автоподгрузка классов
function __autoload($name){ include("classes/_class.".$name.".php");}

То это нужно делать не только в index.php , а во всех файлах,где это встречается...
В обработчиках платежек ,например :  payeer_merchant.php , если есть-inter_merchant.php и так далее.
В некоторых модулях,например Лицензия от Вискаса licmerch.php

В общем пробивайте по поиску. Как-то так.

Спасибо за замечание, в следующий раз буду внимательней!

[shans5]

Да блин.... при чем тут понеслось то?

Я просто за то чтоб поддерживать таких людей .....

А если по существу,то могу сказать реальную правду,без обид.....

1) В видео говорится о фильтрации и так далее,но...
нет конкретного урока о том,что и куда вставить
2) Так же говорится о шифровании паролей - аналогично-просто информация без реальных подсказок .
3) В прикрепленном файле так же нет никакой информации
4) Как уже стало известно-скрипт не совсем чистый..
5) неточность по поводу функции _class
Пока думаю этого хватит...

P.S. Не смотря на все это, cosmo13 , не слушай никого,в том числе и меня
Делай,что считаешь нужным. Если что не так -люди поправят.

[maks161]

а я разве сказал что против этого? 
я написал что инфа полезная и ничего против не писал.
а теперь по поводу дырочки. без обид но такую инфу где она конкретно и как выгледит писать не буду.но она есть.

[shans5]

в мерчанте ?

[finans13]

Нормальный парень, и хороший видос записал, я даже в подписчики к нему на юьубе записался,,, дырдочка в мерчанте вроде, базе64-декоде если я правильно понял. хотя фиг его знает, мож это зашифровщик какой.

[maks161]

в мерчанте ?

нет.

[shans5]

Ну в принципе без разницы....   
Стандарт фф сейчас почти не ставит никто,я так думаю

[megasatano]

Здравый человек, сказал многое от души.

[swerg]

Человек конечно молодец но не чего нового здесь нет!Во первых админку можно защитить по ип!Во вторых дополнительным паролем при входе-тупо не пустит туда я имею ввиду в адрес админки пока не введеш логин и пароль!Ну и в третьих это будет и нафиг все не нужно если будет нормальная фильтрация всех запросов в базу данных!
Добавлено сообщение: 09 Мая 2017, 15:52:05 Защита форм от SQL-инекций на пальцах

Введение
При разработке, более или менее больших проектов, программистам приходится использовать БД (базу данных). Чем в свою очередь обязательно пытаются воспользоваться разного рода хакеры и взломщики. В связи с этим, все данные, которые получаются из _POST или _GET запросов перед добавлением в БД нужно фильтровать.

Как производится фильтрация?
Фильтрация производится следующим образом:
$text_to_check = mysql_real_escape_string ($_GET["запрос"]);
  $text_to_check = strip_tags($text_to_check);
  $text_to_check = htmlspecialchars($text_to_check);
  $text_to_check = stripslashes($text_to_check);
  $text_to_check = addslashes($text_to_check);   
  $_GET["запрос"] = $text_to_check;
Но тут опять-же остаются вопросы: А если нужно заносить в БД какие-либо специальные символы. Выход есть:
function escape_inj ($text) {
  $text = strtolower($text); // Приравниваем текст параметра к нижнему регистру
  if (
    !strpos($text, "select") && //
    !strpos($text, "union") && //
    !strpos($text, "select") && //
    !strpos($text, "order") && // Ищем вхождение слов в параметре
    !strpos($text, "where") && //
    !strpos($text, "char") && //
    !strpos($text, "from") //
  ) {
    return true; // Вхождений нету - возвращаем true
  } else {
    return false; // Вхождения есть - возвращаем false
  }
}
$section = $_GET[section]; // Читаем параметр
if (!escape_inj ($section)) { // Проверяем параметр
  echo "Это SQL-инъекция.";
  exit ();
} else {
  $result = mysql_query ("SELECT * FROM `tbl_name` WHERE `section` = $section ");
  ... // Продолжаем работу
}

это все примеры

[shans5]

Сейчас опять скажу-многим не понравится....

Лично я не увидел,что человек в видео утверждает ,что открыл что-то новое......

Он делится тем,что знает-БЕСПЛАТНО !!!

К примеру сегодня в стотысячный раз был задан вопрос : как изменить рефереру зачисление с вывода на покупки...
Я например про это знаю,и многие знают.... Уже достали эти вопросы... Поиск есть на форуме....
 Но кто-то не знает...
Кому-то это нужно.....

Далее в автошколе урок,мастер объясняет:
Перед выездом нужно проверить тормоза,разную ерунду и так далее....
Народ говорит-мы это знаем,нам это на хрен не надо...
Но пару человек говорят- знаете-молодцы,покурите в сторонке ,а мы вот не знаем и хотим послушать...
Пригодится-хорошо, если не нужно - забудем.

Надеюсь особо никого не обидел.....